應用軟件過度索取權限個人信息保護期待“牙齒”更鋒利
工業和信息化部對侵害用戶權益行為的手機應用軟件進行通報,這是今年以來的第三批通報名單。截至目前,工業和信息化部已對今年檢查出的存在問題的89款App進行了通報。《法治日報》記者註意到,“私自收集個人信息”“私自共享給第三方”“過度索取權限”等是這次通報的主要問題。
同日,工業和信息化部發布《關於開展縱深推進App侵害用戶權益專項整治行動的通知》,專項整治時間為通知印發之日至2020年12月10日。重點整治App、SDK未告知用戶收集個人信息的目的、方式、範圍且未經用戶同意,私自收集用戶個人信息的行為。
近年來,通報App違規現象並不少見,涉及軟件數量日益增多,側面暴露了我國公民個人信息保護的短板和難題。
應用軟件越界索權
私自共享缺乏監督
在互聯網時代,大數據在提供便利的同時也帶來了隱私被洩露的潛在危險。身份證號碼、手機號碼、購買記錄、行車路線等個人信息都在數據庫裡一覽無餘。“大數據殺熟”“大數據二次販賣”等現像也層出不窮。
消費記錄被購物App分析,出行住宿被旅行App掌握,行車線路也被導航App知道得一清二楚……在互聯網大數據面前,普通用戶幾乎是“裸體”的,而一旦這些數據被洩露,後果不堪設想。更為嚴重的是,一些手機App從一開始的信息採集就是過度的。
2019年年初,中央網信辦、工業和信息化部、公安部、市場監管總局對外發布《關於開展App違法違規收集使用個人信息專項治理的公告》,中國消費者協會、中國互聯網協會等聯合成立App專項治理工作組,對用戶數量大、與民眾生活密切相關的App的隱私政策和個人信息收集使用情況進行評估。
然而,在專項治理的攻勢下,App過度採集個人信息的問題並未得到遏制。
2019年7月16日,上述App專項治理工作組發布通知,稱有40款App在個人信息收集方面存在問題,且未公開有效聯繫方式。工作組敦促這40款App的運營者30日內完成整改,並向工作組提交整改報告。這份通知顯示,Wi-Fi萬能鑰匙、同花順、墨跡天氣、安居客、糗事百科、起點讀書等常見的App,都在需要整改的名單之中。
據了解,一般來說,App的安裝和使用只能對一些必要的權限徵求使用人的同意。在使用安卓系統的手機中,有以下幾個權限最常被調取,其一是“讀取已安裝應用列表”,藉此可以了解和分析用戶的使用習慣;其二是“讀取本機識別碼”,主要用來確定用戶的身份;其三是“讀取位置信息”,通過獲取位置,蒐集用戶的活動範圍,例如導航類軟件就必須調取這一權限。
然而,在現實生活中,許多App普遍存在越界索權現象,比如視頻類App要求讀取運動數據、資訊類App要求開啟相機和麥克風錄音權限等。
更為嚴重的是,洩露的信息從一般信息向生物識別信息蔓延。近期,360安全大腦監測到,在金融類移動軟件中,存在一批具有隱秘拍照行為的軟件,以提供借貸服務之名,悄無聲息地進行隱私非法收集行為。據360安全大腦監測數據顯示,截至今年6月中旬,共發現9款軟件,捕獲90個樣本。相比以往,這9款軟件“偷盜”手段略有不同,除了非法收集用戶敏感通訊數據外,還會嘗試對用戶面部圖像進行靜默偷拍與上傳。
除偷拍用戶面部圖像外,這類借貸軟件“掃蕩式”地採集用戶的各種敏感通訊與網絡數據,包括用戶短信、通話記錄、通訊錄、接入網絡等,進行非法收集與明文傳輸。
中國傳媒大學人類命運共同體研究院副院長王四新告訴《法治日報》記者,App超範圍收集個人信息、私自共享給第三方的行為屢禁不止的主要原因是,App在收集使用和向第三方傳輸私人信息的整個流程缺乏有效監督。
“從個人來講,用戶完全沒有知覺,所以沒有辦法進行維權,只能被動地依靠執法機關或者監管機關。此外,這種行為可以獲得多層次的利益回報,再加上企業內部管理不嚴導致目前這種情況比較嚴重。”王四新說。
處罰手段比較有限
違法成本普遍偏低
《法治日報》記者調查發現,今年以來,違法App的種類在發生變化。從國家計算機病毒應急處理中心下架的App來看,今年上半年,直播、社交、外賣、醫療、在線教育等App涉嫌侵犯個人隱私占到很大比重。
儘管App洩露個人信息日益嚴重,但《法治日報》記者梳理髮現,目前對這些App還是以行政處罰為主。《App違法違規收集使用個人信息專項治理報告(2019)》顯示,目前相關部門對App違法行為採取的懲罰措施主要有整改、通報、下架、罰款、查處、行政約談等。
在業內人士看來,責令整改、罰款等處罰措施往往對一些違規App不能產生觸動,“這次錯了,下次還敢上榜單”的現像比比皆是。
工業和信息化部每曝出一批問題App名單,也會給相關App規定整改期限,如對於7月24日公佈的App名單,工信部要求在7月30日之前完成整改。
“違法成本低,監管難度大成為當下監管App違規行為的主要難題。”中國傳媒大學文化產業管理學院法律系主任鄭寧告訴《法治日報》記者,“工業和信息化部如果僅依據相關部門規章進行處罰,只能予以警告和處以一定數額的罰款(通常是3萬元以下),這種處罰力度對違反者而言成本很低。”
上海交通大學數據法律研究中心執行主任何淵認為,目前相關部門對於違法違規收集個人信息的處罰手段有限,主要依靠企業自律,或是監管部門採取限期整改、約談和下架等方式。這也就意味著沒有鋒利的“牙齒”能震懾這類行為。
除了違法成本低的問題外,監管部門還面臨企業用戶雙方需求難以平衡的困境。
有媒體報導稱,企業收集用戶隱私信息可以用來作為用戶畫像,便於發送廣告,合理的廣告訴求應該予以理解,“一些小微企業的收入來源就是App中的廣告,如果採用’一刀切’的方式完全禁止發廣告,一些App就無法生存。但從用戶的直觀角度考慮,用戶有可能認為自己的隱私信息遭到了竊取。此時監管部門需要綜合考慮用戶與企業雙方的需求”。
有監管層人士介紹說,目前查到一些App存在侵權問題時,他們會直接與App運營企業聯繫要求對方進行整改,對於比較容易整改的問題,如App註銷難等,企業可以很快出台註銷方式,用戶也能簡單地發現這一改變,因此關於註銷難的整改容易推進;但私自收集個人信息的問題就較為複雜,如一些App出於使用目的不得不收集必要的個人信息,此時如何判斷什麼屬於“私自收集”往往較麻煩,這可能是App通報名單中“私自收集個人信息”問題始終存在的原因之一。
北京師範大學法學院教授劉德良告訴《法治日報》記者:“企業收集用戶隱私信息可以用來作為用戶畫像,可以更精準地為用戶提供服務。另外,合理收集個人信息,也便於精準地發送廣告來維持企業生產,這種合理的訴求應該予以理解。”
但是,劉德良認為,個人信息和個人隱私要作區分,互聯網搜索信息偏向等數據屬於正常的個人信息片段,企業收集這類信息後只要不進行電話騷擾,合理推送廣告和產品推薦並不屬於隱私侵犯。
如何平衡兩者的需求關係,鄭寧的意見是:“個人信息兼具個人利益和公共利益,監管部門應該平衡用戶的個人信息權益以及企業的創新發展。隨著網絡技術進步和數字經濟的發展,收集使用個人信息的手段和方式日益多樣化、複雜化,通過立法、行政執法和司法加強個人信息保護是非常必要的,但是在大數據、人工智能時代,信息只有在合理流動和使用中才能發揮其價值。”
努力平衡各方需求
監管亟須落到實處
去年年底,國家互聯網信息辦公室、工業和信息化部等四部門印發《App違法違規收集使用個人信息行為認定方法》,對於如何界定App明確告知收集使用個人信息等行為作出了詳細的解釋。App專項治理工作組有關專家曾對該認定方法進行解讀,未明示收集使用個人信息的目的、方式和範圍的情況包括,未逐一列出App(包括委託的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、範圍等。
App專項治理工作組有關專家解讀稱,App和App中嵌入代碼的第三方收集使用個人信息,都需要採取適當方式通知用戶。“我們曾使用檢測工具檢測到一款App中嵌入了54個SDK,這麼多SDK有沒有個人信息洩露的風險,這些都要提。目前有一些App在整改後做得很到位,有些專門列出了SDK的列表,甚至把第三方共享的接收方都列出來了,如果把明示工作做到這個程度,相信用戶也會提升對App的信任度。”
《法治日報》記者註意到,在立法層面,《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規範》《App違法違規收集使用個人信息行為認定方法》先後出台,明確了未公開收集使用規則;未明示收集使用個人信息的目的、方式和範圍等6項認定準則,包含31種場景。
當下,我國關於個人信息安全的法律在不斷完善和細化,但監管如何落到實處是當下更值得考慮的問題。
對此,鄭寧建議,監管的完善需要從以下幾個方面進行:第一,互聯網平台應加強對App上架環節的事前審核;第二,建立健全投訴舉報製度,進行相應回應;第三,加大對違法違規App的懲處力度;第四,運用新型監管方式,如信用記錄監管;第五,運用大數據、人工智能等技術進行監管。
“在互聯網時代,任何問題都不能採取’一刀切’的方式,要採取靈活變動的監管辦法。”在王四新看來,要想將監管措施落到實處,需要有更多懂技術、懂業務的專家型人才補充到監管的隊伍裡。在目前這類人才難以滿足監管要求的情況下,可以發揮不同領域的技術人才的作用,同時調動廣大網民的積極性。
“此外,要平衡App開發者或者服務提供者與廣大用戶之間的關係,要求平台履行責任,例如上線時加強審核把關,上線運營過程中增加透明度。同時也要為消費者維護權益降低難度,提供更多便利,讓消費者通過自主的維權活動來保障自身利益。這樣既可將監管落到實處,又能減少監管費用。”王四新說。
王四新認為,App開發者和用戶之間的權利義務關係模式,是隨著相關變量的不斷變化而變化的。從監管的角度來講,就是平衡合理使用與保護隱私權的問題,一方面要保護消費者的合法權益,保證他們的隱私不被過度開發或非法利用,另外一方面也要確保App的開發者能夠有效利用他們提供服務過程中採集的數據,讓這些數據發揮更大的作用。
不過,鄭寧也提出:“如果過度強調個人信息保護,會給互聯網企業造成過重的負擔,不利於產業創新和信息自由流動。”